信息安全测评认证信息系统安全评估申请材料说明7

1、国家信息安全测评认证信息系统安全评估 申请材料说明7 编号：CNITSEC/ISSC-EME03密 级：公开 国家信息安全测评认证 信息系统安全评估申请材料说明 申请单位（公章）： 系统名称： 申请日期： 中国信息安全产品测评认证中心 系统工程实验室 申请信息系统安全评估的单位，必须按本申请材料说明的要 求提 交相关文档，以便测评认证中心系统工程实验室评估人员能对信息系 统有清晰而全面的了解，从而顺利执行评估工作。 申请信息系统安全评估，应准备六类文档，包括： 1. 信息系统安全策略； 2. 信息系统技术方案； 3. 信息系统安全保障组织机构及管理制度 4. 信息系统风险评估文档; 5. 信息

2、系统工程实施过程文档; 6. 信息系统安全保障规划; 其中1-4项文档要求申请方必须提交到测评认证中心系统工程实 验室，5-6项文档可以不用提交到中心，评估人员会在现场审核阶段 进行审查。 请按照附件一至附件六中详细阐述的要求准 备六类文档。 申请方提交材料应： 1 保证所交材料内容全面、真实、详细、准确。 2. 准备两份纸版，一份电子版（光盘）。 3. 将六类文档与申请书一并提交。 4. 如果个别内容由于保密因素不宜以文档形式提交，请事先与系 统工程实验室有关负责人员联系。 信息系统安全策略 系统名称： 申请单位（公章）： 安全策略制订单位（公章）： 中国信息安全产品测评认证中心 系统工程实

3、验室 请用户在准备信息安全策略文档前，阅读下面内容： 信息系统安全策略是一切信息安全保障活动的基础和出发点，用于 在一个组织机构内，指导如何对资产，包括敏感性信息进行管理、保护 和分配的规则和指示，指导整个信息系统安全体系的设计与实施，所有 信息系统安全控制措施（包括技术控制措 施和管理控制措施）的选 择、运营和维护均依据安全策略进行。制定安全策略是任何机构进行信 息化建设都必须完成的工作，一 份有效并设计良好的策略是安全目标能否实现的关键。通常，安 全策略通过规定一套规则来规范信息系统的建设及其运行、维护 和管理。这些规则清晰的说明了哪些行为是被允许的。 一般来说，信息系统的安全策略是一个多

4、层次的结构，典型的信 息安全保障策略具有三个层次：高层安全策略；系统及子系统级策 略；安全产品级策略。 一、高层安全策略 高层安全策略是对信息安全保障问题的最高层次论述。表述 了组织机构最高领导层对信息安全保障的支持，定义了信息系统 所要实现的总体安全保障目标。高层安全策略要求用精炼的语言对信息 系统的安全保障目标进行概括性论述，规定了策略适用范 围和应建立的安全保障管理组织及其相关职责。高级管理层将以 身作则来支持信息安全保障的建设及其相关的规定，并且声明将 对违反信息安全保障规范的行为做出惩戒。 子系统级策略 子系统级策略服从于咼层安全策略所制定的信息系统的总体安全 保障目标。它指导具体技

5、术控制措施和管理控制措施的选用和实施。每 类子系统级策略包括以下几部分内容：目标、范围、 策略要求、惩戒和修改纪录等。典型的子系统级策略主要包括以下方 面： a）标识与鉴别策略：信息系统应能够对每个授权网络用户（包括 人、设备和过程）进行唯一的标识；在允许任何用户执行 任何操作（事先定义好的操作除外，如浏览公共网站）之前，信息系统 应能够鉴别每个用户（人或其他的信息系统）身份。 b）访问控制策略：访问控制包括网络访问控制、操作系统 访问控制、应用访问控制，移动式计算设施访问控制，远程工作 访问控 制。例如信息系统应该对网络用户实施强鉴别机制；信息 系统应能够在达到管理员预设的失败登录尝试次数后

6、自动锁定 用户账号；信息系统应该在用户登录时依据上级机构的要求显示标准的 “登录警告旗标”。 c）公众网安全策略：公众网安全策略包括公众网入口、管理员职 责、用户职责、VPN, Intranet, Extra net及其它通道、WWW应用、M odem和其他后门。 d）备份和恢复策略。 e）电子邮件安全策略：电子邮件安全策略包括电子邮件使用规 则、电子邮件管理、秘密通讯的电子邮件使用等策略。 f）恶意代码策略：应建立恶意代码，包括病毒，蠕虫，特洛伊木 马，的安全策略（例如建立病毒防护类型、第三方软件的 处理规则、与病毒责任相关的用户） g）加密策略：基于法律依据，加密管理，加密数据处理，密钥生 成机密，密钥管理等建立相应的加密策略。 h）软件开发策略：软件开发策略，包括对软件开发程序，测试文 档，修改控制以及配置管理，第三方开发，知识产权等方面制定的